我正在为使用tshark创建的一堆常规小pcap文件编写解析脚本。
我需要的是提取捕获中的第一个数据包和最后一个数据包的精确(低至毫秒)时间戳。我试过“capinfos myfile”,但是它的精确度可以达到秒,并且对于持续少于的捕获而言,这不是一秒钟,而且不是很有帮助。
有谁知道如何抓住这些信息?
答案 0 :(得分:5)
运行capinfos -c以显示数据包数:
$ capinfos -c lmt_04.pcap
文件名:lmt_04.pcap
包数:1645
运行TShark -T字段以打印第一个和最后一个数据包的frame.time:
$ tshark -r lmt_04.pcap -R“frame.number == 1 || frame.number == 1645”-T fields -e frame.time
2009年8月28日21:29:24.491572000
2009年8月28日21:30:36.747868000